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Verfahren und Vorrichtung zum Drucken von sensitiven Daten 



5 Die Er.findung betrifft ein Verfahren und eine Vorrichtung zum 
Drucken von sensitiven Daten. 

Es sind unterschiedliche Verfahren zum Obermitteln von sensi- 
tiven Daten an eine Druckvorrichtung zum Drucken dieser Daten 

10 bekannt. So geht zum Beispiel aus der US 5,633,932 ein System 
und ein Verfahren hervor, bei welchem sich eine berechtigte 
Person an einer Druckvorrichtung durch Eingeben einer Pin au- 
thentizieren muss, bevor der jeweilige Druckvorgang ausge- 
fiihrt wird. Hierbei wird unterstellt, dass dann wShrend des 

15 Druckvorganges die berechtigte Person neben der Druckvorrich- 
tung anwesend ist und den Druckvorgang uberwachen kann. Die 
zu druckenden Daten werden verschltisselt an die Druckvorrich- 
tung ttbermittelt und sobald die Authentizierung durch die be- 
rechtigte Person vorgenommen worden ist, werden sie im Dru- 

20 cker entschlusselt und in einer ..Druckschlange zur Bearbeitung 
abgespeichert. Dieses Verfahren ist ftir kleine Druckauf trage 
sehr zweckmafiig, die jeweils von einer bestimmten Person u- 
berwacht und zur -Ausftthrung gebracht werden. Wenn an einer 
Druckvorrichtung grofiere Druckauf trage ausgefuhrt werden, be- 

25 steht die Gefahr, dass sich eine berechtigte Person routine- 
maiiig authentiziert, ohne dass die im Einzelfall notwendige 
Sorgfalt beachtet wird. Hierdurch kann die Funktion der Si- 
cherheitseinrichtung eliminiert werden, Zudem sind in der 
Druckvorrichtung die entschlusselten Daten lesbar in der 

30 Druckschlange gespeichert, so dass die Druckvorrichtung ge- 
zielt manipulierbar ist und die sensitiven Daten entnommen 
werden konnen. 

Ein hierzu ahnliches Verfahren ist in der EP 1 091 285 A2 be- 
35 schrieben, bei welchem sich eine berechtigte Person an einer 
Druckvorrichtung zu authentizieren hat, damit der Druckauf- 
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trag ausgefuhrt wird. Die Authentizierung erfolgt hierbei 
mitt els einer Smart-Card. 

Aus der US-Amerikanischen Patentanmeldung US 2001/0037462 Al 
geht eine Druckvorrichtung hervor, die ein Decodiermodul auf- 
weist, mit welchem codierte Daten decodiert bzw. entschlus- 
selt werden konnen. Die entschliisselten Daten werden einer 
Treibereinrichtung zum Ausdruck auf einen Auf zeichnungstrager 
ttbermittelt. Die Treibereinrichtung wandelt die entschlussel- 
ten Druckdaten in Steuersignale zum Ansteuern eines Druckkop- 
fes der Druckvorrichtung urn. 



Beim Drucken von sensitiven Daten, wie zum Beispiel den Pins 
fur Scheckkarten oder Kreditkarten, wird zunachst eine Druck- 
..datei erstellt, .die die sensitiven Daten enthalt und diese 
Datei wird verschliisselt . Dieser Vorgang erfolgt in einer Si- 
cherheitszone, d.h., in einem hermetisch abgeriegelten Raum 
auf einem Computersystem, das wahrend des Betriebes von wei- 
teren Netzwerken trennbar ist, so dass sichergestellt ist, 
dass. keine unbefugten Dritten auf die zu bearbeitenden Daten 
zugreifen kSnnen. Die so erstellte Druckdatei wird beispiels- 
weise mit einem Datentrager auf eine Druckvorrichtung iiber- 
tragen. Der Ausdruck erfolgt wiederum in einem hermetisch ab- 
geriegelten Raum, da bei den bekannten Druckvorrichtungen die 
verschltisselten Daten entschltisselt werden und in der Druck- 
vorrichtung in entschltisselter Form lesbar vorliegen. Deshalb 
ist es notwendig, dass wahrend des Druckvorganges lediglich 
wenige authorisierte Personen Zugang zu der Vorrichtung haben 
und der Raum, in dem sich die Druckvorrichtung befindet, ab- 
30 geschlossen ist. Dies hat jedoch auch zur Folge, dass ein 
Druckauftrag mit sensitiven Druckdaten nicht einfach zwi- 
schen zwei Druckauf tragen, die lediglich nicht-sensitive Da- 
ten beinhalten, ausgefuhrt werden kann, da zum Drucken der 
sensitiven Daten umfangreiche Sicherheitsmafinahmen getroffen 
werden mussen. Dies gilt selbst, wenn die Daten auf einen 
Aufzeichnungstrager gedruckt werden, bei welchem man nach dem 
Druckvorgang die gedruckten Daten nicht ohne Zerstdrung einer 
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Mile Oder eines Siegels oder eines entsprechenden anderen 
Sicherheitsmechanismus lesen kann. Derartige Auf zeichnungs- 
trager sind zum Beispiel Umschlage mit einem von aufien mecha- 
nisch bedruckbaren Einlegeblatt. Auf zeichnungstrager mit ei- 
5 nem Sicherheitsmechanismus, dec ein Lesen von sensitiven Da- 
ten ohne erkennbare Veranderung des Sicherheitsmechanismus 
unmoglich macht, wird im folgenden als Sicherheitspapier be- 
zeichnet. Es wird weiteres Sicherheitspapier entwickelt, das 
nicht nur mechanisch sondern auch mit einer elektrofotograf i- 
10 schen Druckvorrichtung bedruckbar ist. 

Da bei den bekannten Druckvorrichtungen im Drucker die ent- 
schliisselten Daten in lesbarer Form vorliegen, ist es nicht 
moglich, ohne hermetische Abriegelung der Druckvorrichtung 
15 einen Druckauftrag von derart sensitiven Daten auszufuhren. 

Es besteht ein erhehlicher Bedarf an einer. Druckvorrichtung,- 
mit welcher sensitive Daten gedruckt werden konnen, ohne dass 
die Druckvorrichtung zum Ausdruck der Daten hermetisch abge- 
20 riegelt werden muss. 

Sollen sensitive Daten in groJJen Mengen gedruckt werden so 
ist es zweckmafiig, eine elektrofotograf ische Druckvorrichtung 
zu verwenden, denn entsprechende. Hochleistungsdrucker bieten 
einen hohen Durchsatz, wobei jede einzelne Seite individuell 
gedruckt werden kann. Bei elektrofotograf ischen Druckern wird 
mittels eines Controllers ein Zeichengenerator angesteuert, 
der entweder mit einem Laser oder mit Leuchtdioden eine Foto- 
leitertrommel belichtet, mit welcher Farbpartikel auf einen 
Aufzeichnungstrager tibertcagen werden. In „Das Druckerbuch - 
Technik und Technologien der OPS-Hochleistungsdrucker, Ausga- 
be 5a, Oktober 2000, ISBN-3-00-001019-X sind in Kapitel 4 
derartige optische Zeichengeneratoren und in Kapitel 9 ein 
entsprechender Controller, der SRA-Controller, zum Ansteuern 
von Zeichengeneratoren beschrieben. In Kapitel 6 sind Raster- 
technrken und deren Auswirkung auf die Druckqualitat erlMu- 
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Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren zum 
Drucken von sensitiven Daten zu schaffen, bei dessen Ausfiih- 
rung an einer Druckvorrichtung es nicht notwendig ist, diese 
hermetisch abzuriegeln. Zudem soli mit der Erfindung eine 
Vorrichtung zum Ausfiihren dieses Verfahrens geschaffen wer- 
den. 

Die Aufgabe wird durch ein Verfahren mit den Merkmalen des 
Anspruchs 1 und durch eine Vorrichtung mit den Merkmalen des 
Anspruchs 18 gelSst. Vorteilhafte Ausgestaltungen der Erfin- 
dung sind in den jeweiligen UnteransprUchen angegeben. 

Das erfindungsgemalie Verfahren -zum Drucken von sensitiven Da- 
ten umfasst folgende Schritte: 

- • Verschlttsseln von zu druckenden sensitiven Daten .an ei- 
ner Arbeitsstation, 

Obertragen der zu druckenden Daten an eine Druckvorrich- 
tung, 

Entschlttsseln der zu druckenden sensitiven Daten, 
•- ■ Umsetzen der zu druckenden Daten in Steuersignale zum 
Ansteuern einer Druckeinheit, 

Drucken der Daten auf einen Auf zeichnungstrager, 
wobei zwischen dem Entschliisseln und dem Drucken der Daten 
die entschliisselten Daten nicht in einem lesbaren Format auf 
einem nicht-fluchtigen Speichermedium gespeichert werden. 

Sensitive Daten im Sinne der vorliegenden Erfindung sind alle 
vertraulichen bzw. geheimzuhaltenden Daten, insbesondere 
streng geheim zu haltende Daten, die nur einem streng be- 
grenzten Personenkreis unter erheblichen Sicherheitsauf lagen 
zuganglich gemacht werden. 

Ein nicht-fluchtiges Speichermedium im Sinne der vorliegenden 
Erfindung ist jedes Speichermedium, das gespeicherte Daten 
iiber eine unbegrenzte Zeitdauer hinweg bereithalt. Ein fltich- 
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tiges Speichermedium im Sinne der vorliegenden Erfindung ist 
dagegen ein Speichermedium, das die Daten sofort verliert, 
sobald die Stromversorgung des Speichermediums eingestellt 
wird. 



Da erfindungsgemafi die zu druckenden Daten nach der Ent- 
schlusselung nicht in einem lesbaren Format auf einem nicht- 
fluchtigen Speichermedium gespeichert werden, liegen die sen- 
sitiven Daten wahrend der Verarbeitung in einer Druckvorrich- 
tung nicht in einem lesbaren Format vor. Selbst wenn wahrend 
des Druckvorganges versucht wird, die Druckvorrichtung derart 
zu manipulieren, dass sie angehalten wird, werden die im 
fluchtigen Speicher gespeicherten sensitiven Daten automa- 
tisch geldscht und falls die sensitiven Daten auf einem 
nicht-fltichtigen Speichermedium gespeichert sind, sind sie in 
einem nicht-lesbaren Format gespeichert, so dass sie nicht 
gelesen werden konnen. 

Unter einer nicht-lesbaren Form wird im Sinne der Erfindung 
jedes Format verstanden, das nicht ohne weitere Informatio- 
nen, die unzuganglich sind, gelesen werden kann. Es ist z.B. 
bekannt, dass Betriebssysteme gewisse Dateneinheiten in Seg- 
mente zerstuckelt auf einem Speichermedium verteilen. Diese 
Segmente sind jedoch nur lesbar, wenn die entsprechende In- 
formation zum Zusammenftihren der Segmente vorliegt. Diese In- 
formation ist jedoch in den meisten Betriebssystemen unzu- 
ganglich, da sie an einer fur einen Benutzer unbekannten 
Stelle gespeichert ist. Bei der vorliegenden Erfindung ist es 
zweckmaMg, diese Information in einem fluchtigen Speicher zu 
speichern, so dass bei einer Manipulation diese Information 
verloren geht und die auf dem nicht-f luchtigen Speichermedium 
gespeicherten Daten nicht mehr lesbar sind. 

Die Erfindung macht es somit unm6glich / durch Manipulation an 
der Druckvorrichtung die der Druckvorrichtung verschlusselt 
zugefuhrten. Daten aus der Druckvorrichtung wahrend des Ar- 
beitsprozesses des Entschlusselns bis zum Drucken auf den 
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Aufzeichnungstrager zu entnehmen. Hierdurch ist es nicht mehr 
notwendig, beim Drucken von sensitiven Daten die Druckvor- 
richtung in einem hermetisch abgeschlossenen Raum anzuordnen 
und es kdnnen Druckauf trage mit sensitiven Daten und Druck- 
auftrage mit nicht-sensitiven Daten, die von beliebigen Per- 
sonen aufgegeben werden konnen, in Folge an der Druckvorrich- 
tung abgearbeitet werden. 

Das Umsetzen der zu druckenden Daten in Steuersignale erfolgt 
bei elektrofotografischen Hochleistungsdruckern, fur welche 
das erfindungsgemaJie Verfahren vorgesehen ist, durch eine an 
sich bekannte Rasterung der zu druckenden Daten in Rasterbil- 
der, welche die Steuersignale fur einen Zeichengenerator dar- 
stellen. Bei erfindungsgemaBem Verfahren wird vorzugsweise 
die Entschltisselung der sensitiven Daten und die Rasterung 
derselben unmittelbar auf einanderfolgend ausgeftihrt und der 
Druckvorgang unmittelbar folgend auf die Rasterung ausge- 
f uhrt . 

Bei einer weiteren bevorzugten Ausftthrungsform sind sensitive 
und nicht-sensitive Daten vor dem Ubertragen zur Druckvor- 
richtung in einer Dateneinheit, insbesondere einer Druckda- 
tei, gemischt angeordnet, wobei die sensitiven Daten durch 
Markierungen gekennzeichriet sind. Hierdurch. ist.. es mdglich, 
dass beim Erstellen einer Druckdatei die sensitiven Daten un- 
abhangig von den nicht-sensitiven Daten bearbeitet werden 
kSnnen, so dass z.B. ein aufwendiges und umf angreiches Layout 
von beliebigen Personen ohne Sicherheitsauf lagen erstellt 
werden kann, in das dann die unter hohen Sicherheitsauf lagen 
erstellten sensitiven Daten verschlttsselt eingefugt werden. 
Da die Datenmenge der sensitiven Daten im Vergleich zur Da- 
tenmenge der nicht-sensitiven Daten in der Regel wesentlich 
geringer ist, kann der Aufwand fur die Anf orderungen an die 
Sicherheit gering gehalten werden. Dieses Kombinieren von 
sensitiven Daten und nicht-sensitiven Daten in einer Druck- 
einheit stellt einen selbstandigen Erf indungsgedanken dar. 
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Die Erfindung ward nachfolgend anhand der Zeichnungen bei- 
spielhaft naher erlautert. . Die Zeichnungen zeigen scheraa- 
tisch: 

Fig. 1 eine Arbeit sstation und eine Druckvorrichtung zum 
Ausfiihrung des erf indungsgemafien Verfahrens, 

Fig. 2 schematisch den Aufbau eines Controllers der Druck- 
vorrichtung aus Fig. 1, 

Fig. 3 - Fig. 6 jeweils eine Aus ftthrungs form des erfin- 
dungsgemalien Verfahrens schematisch in einem Block- 
diagramm. 

Fig. 1 zeigt ein System zum Ausfiihren des erf indungsgemaflen 
Verfahrens. Dieses System weist eine Druckvorrichtung 1 auf, 
die mit einer Arbeitsstation 2 uber eine Datenleitung 3 ver- 
bunden ist. 

An.. der Arbeitsstation 2 kann eine Druckdatei erstellt werden, 
die tiber die Datenleitung 3 zur Druckvorrichtung 1 geleitet 
wird. 

Die Druckvorrichtung 1 weist einen Eingabeschacht 4 zur Auf- 
nahme eines Stapels unbedruckter Auf zeichnungstrager und ei- 
nen Ausgabeschacht 5 auf, in welchem bedruckte Auf zeichnungs- 
trager abgelegt werden. Zwischen dem Eingabeschaf t 4 und dem 
Ausgabeschaft 5 ist ein F6rderweg 6 zum Befdrdern der Auf- 
zeichnungstrager ausgebildet. In Fig. 1 ist dieser F6rderweg 
6 schematisch dargestellt und durch Transportwalzen 7 be- 
grenzt. Mittels der Transportwalzen werden die Auf zeichnungs- 
trager in Fdrderrichtung 8 befdrdert. 

Angrenzend an dem Forderweg 6 ist eine Fotoleitertrommel 9 
angeordnet. Die Fotoleitertrommel 9 wird mittels eines LED- 
Zeichengenerators 10 belichtet und Farbpartikel werden ent- 
sprechend der Belichtung der Fotoleitertrommel von dieser an 
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einer Entwicklerstation 11 aufgenoinmen und auf den Aufzeich- 
nungstrager iibertragen. Der Zeichengenerator 10 wird von ei- 
nem Controller 12 gesteuert. 

5 Der Zeichengenerator 10, die Fotoleitertrommel 9 und die Ent- 
wicklerstation 11 bilden eine Druckeinheit . 

In Fig. 1 ist die Druckvorrichtung 1 schematisch grob verein- 
facht dargestellt, wobei bekannte Elemente, die fur den Be- 
trieb der Druckvorrichtung notwendig sind, wie z.B. die Fi- 
xiereinheit, weggelassen worden sind, da sie fur die Erfin- 
dung ohne Relevanz sind. 

An der Arbeitsstation 2 wird eine Druckdatei erstellt und 
15 diese Druckdatei wird tiber die Datenleitung 3 an die Druck- 
vorrichtung 1 ubermittelt. Hierbei wird die Druckdatei. bei- 
spielsweise in Form eines Druckdatenstromes. (z.B. IPDS, PDF, 
PS, PCL) ubermittelt. Der Controller 12 empfangt den Druckda- 
tenstrom und fUhrt eine Vorverarbeitung aus, bei welcher der 
20 Druckdatenstrom in. eine Zwischensprache (z.B. Metacommand- 
List bzw. Display-List) umgesetzt wird. 

Im Controller 12 werden die Druckdaten in Steuersignale zum 
Ansteuern des Zeichengenerators 10 umgesetzt. Diese Umsetzung 
25 der Druckdaten erfolgt bei elektrof otograf ischen Hochleis- 
tungsdruckern durch eine Rasterung, wobei die Steuersignale 
Rasterbilder sind, deren Pixel unmittelbar einzelne LEDs des 
Zeichengenerators 10 ansteuern. 

30 Der Controller 12 weist eingangsseitig ein I/O-Modul 14 zum 
Empfang der Druckdaten auf. Das I/O-Modul 14 ist an einen Da- 
tenbus, wie z.B. dem MultibusII® 15 gekoppelt. An diesem Da- 
tenbus 15 sind ein Entschliisselungsmodul 16 und eines oder 
mehrere Rastermodule 17 sowie eine Druckkopfdatenausgabe 18, 

35 gekoppelt, die auch als Serialiser bezeichnet wird. Das bzw. 
die Rastermodule 17 und die Druckkopfdatenausgabe 18 sind ti- 
ber einen Pixelbus 19 miteinander verbunden, tiber den die ge- 
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rasterten Druckdaten iibertragen werden. An der Druckkopfda- 
tenausgabe 18 werden die gerasterten Druckdaten zum Zeichen- 
generator 10 weitergeleitet . 

5 Nachfolgend wird eine erste Ausf uhrungsf orm des erf indungsge- 
mafien Verfahrens anhand von Fig. 3 erlautert. 

Hierbei liegen zwei Datensatze (Dataset 1 und Dataset 2) vor, 
wobei die Daten des einen Datensatzes (Dataset 1) nicht- 
sensitive Daten und die Daten des anderen Datensatzes (Data- 
set 2) sensitive Daten enthalten. Der Datensatz mit den sen- 
sitiven Daten ist verschlusselt. Die beiden Datensatze bilden 
zusammen die Druckdaten. 

Die Erstellung und Bearbeitung des die . sensitiven Daten ent- 
haltenden Datensatzes erfolgt in einem hermetisch abgeriegel- . 
ten Raum. Hierbei wird der Datensatz auch verschlusselt. 

Nach der Verschlusselung kann der die senstiven Daten enthal- 
20 tende Datensatz mit dem die nicht-sensitiven Daten enthalten- 
den Datensatz zu Druckdaten verbunden werden. Diese Druckda- 
ten werden an der Arbeitsstation 2 mittels einer geeigneten 
. Anwendungssoftware .(z-.B*. -* oce-Documentdesigner oder einem 
Textverarbeitungsprogramm) bearbeitet, wobei zunSchst aus dem 
25 unverschlusselten Datensatz eine Applikations-Beschreibung 
bzw. ein Layout ausgearbeitet wird, wobei Bereiche zum Auf- 
nehmen von verschlUsselten Daten vorgesehen werden, die mit- 
tels Markierungen oder Kommandos markiert werden. Grundsatz- 
lich kann jede Art von Kommando oder Markierung verwendet 
30 werden, sofern die Markierungen/Kommandos in nachf olgenden 
Verarbeitungsschritten eindeutig interpretierbar sind. Insbe- 
sondere sind besondere Parameter, Flags, oder Tags, besondere 
Schreib-Kommandos und sichtbare oder nicht-sichtbare Kenn- 
zeichnungen, wie zum Beispiel Farbe oder Schrif tarten, mog- 
35 lich. 
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Im nachsten Verarbeitungsschritt an der Arbeitsstation 2 wird 
die Druckdatei auf Grundlage der Applikations-Beschreibung 
und den zur Verfugung stehenden Druckdaten formatiert. Dies 
geschieht mittels Spezial-Formater, wie zum Beispiel PRIS- 
5 MAproduction oder oc§-Windows-Application-Driver . Hierbei ist 
wesentlich, dass die verschlusselten Daten nicht entschltis- 
selt werden, sondern als verschliisselte Datensatze in die 
Druckdatei eingefugt werden. 

10 Die Erstellung der Druckdatei umfasst somit zum einen die ub- 
liche Layout- und Textbearbeitung als auch das EinfUgen des 
verschlusselten Datensatzes in vorbestimmte Bereiche des un- 
verschliisselten Datensatzes. Die verschlusselten Bereiche 
sind in der Druckdatei mit geeigneten Mar ken markiert. 

15 - 

. . D.ie Druckdatei wird in Form eines Druckdatenstromes uber die 
Datenleitung 3 an die Druckvorrichtung 1 weltergeleitet . 

Hier wird der Druckdatenstrom vom I/O-Modul 14 des Control- 
20 lers 12 - empf angen und in den Datenbus, 15 eingespeist. Das 
Entschliisselungsmodul 16-liest die Druckdaten und erkennt an- 
hand der Markierungen die .verschlusselten Druckdaten. 

Die verschlusselten Druckdaten werden auf Anforderung der 
25 Rastermodule 17 von dem Verschliisselungsmodul 16 entschliis- 
selt. Die derart entschlusselten Druckdaten werden von den 
Rastermodulen 17 nach an sich bekannten Rastertechniken ge- 
rastert. Die hierbei entstehenden Rasterbilder werden uber 
den Pixelbus 19 an die Druckkopf datenausgabe 18 weitergelei- 
30 tet. 



35 



Die Druckkopfdatenausgabe 18 leitet die Rasterbilder an den 
Zeichengenerator 10 weiter, der den Druckvorgang auf einen 
Aufzeichnungstrager entsprechend den Druckdaten steuert. 
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Als Aufzeichnungstrager ward vorzugsweise ein Aufzeichnungs- 
trager verwendet, in dent die sensitiven Daten nicht ohne Zer- 
sterung eines Siegels oder Umschlages gelesen werden k6nneh. 

5 Alternativ ist im Rahmen der Erfindung auch moglich, die Ras- 
terbilder in elektronischer Form z.B. als Datei, eMail, Fax 
Oder dergleichen auszugeben. Da sie jedoch sensitive Daten 
enthalten, ist es bei einer derartigen Ausgabe notwendig, sie 
zu verschlusseln, damit sie an Dritte weitergeleitet werden 
10 konnen. 

Bei dem obigen System liegen die entschlttsselten Daten nur in 
dem den Datenbus 15, dem Pixelbus 19 und die Datenleitung 
zwischen der Druckkopf datenausgabe 18 • und" dem- Zeichengenera- 
15 tor 10 umfassenden Bereich vor. In diesem Bereich gibt es 
keinen nicht-f ltichtigen Speicher. Es gibt auch keine Daten- 
einheit zwischen dem Entschliisselungsmodul 16. und der Druck- 
kopf datenausgabe 18, die eine groJiere, entschliisselte Daten 
enthaltende Datenmenge umfasst und lesen kann. 

20 

• Das Entschliisselungsmodul 16 stent zu den .Rastermodulen 17 in 
einem ahnlichen Verhaltnis. wie ein Coprozessor zu einem Pro- 
zessor, das heilit, die Rastermodule 17 iibermitteln die ver- 
schltlsselten Inf ormationen zum Entschlusseln an das Ent- 
25 schlusselungsmodul 16 und holen die entschlttsselten Daten um- 
gehend wieder ab. Hierdurch werden die Daten nicht zwischen- 
gespeichert, sondern von den Rastermodulen in Steuersignale 
zum Ansteuern einer Druckvorrichtung umgesetzt. 

30 Bei der Druckvorrichtung gemali dem vorliegenden Ausftthrungs- 
beispiel wird der Speicher virtuell verwaltet und je nach Be- 
darf jede Seite neu allokiert. Die verschlttsselten Daten und 
die entschlusselten Steuersignale konnen deshalb selbst beim 
direkten Lesen der Speicher nicht in Beziehung gebracht wer- 

35 den. Die Speicherseiten beziehungsweise Speicherpages, die in 
der Regel 4 Kilobyte groJi sind, werden von einem eigenen Pro- 
gramm verwaltet und sind auf unterschiedliche Rastermodule 
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verteilt. Die entsprechenden Verkettungsinf ormationen sind 
von aulien nicht zuganglich. Das Format ist maschinenspezi- 
fisch, das heilit, auch nicht ohne zusatzliches Detailwissen 
interpretierbar . Zudem kann mit der vorhandenen Ausgestaltung 
5 der Druckvorrichtung kein Speicherdump ausgefiihrt werden, das 
heilit, der Speicher kann von einem Dritten nicht gelesen wer- 
den. Hierzu miisste zusatzliche Software eingebracht werden. 
Jedoch werden derartige Unterbrechungen und Manipulationen 
vom Controller registriert. 

10 

Es ist somit nicht moglich, an die sensitiven Daten durch An- 
halten der Druckvorrichtung und Auslesen von Speicherbaustei- 
nen in diesem Bereich zu gelangen. Die Speicherbausteine des 
Rastermoduls 17 enthalten" "jew€iTs"nur Ausschnitte der Druck- 
15 daten, so dass- deren Zuordnung praktisch unmoglich ist. 

Das Entschliisselungsmodul 16 kann vom Betreiber der Druckvor- 
richtung selbst gewahlt und durch Einstecken an einen ent- 
sprechenden Steckplatz hinzugefugt werden. Derartige Ent- 
20 schltisselungsmodule sind ublidherweise derart ausgebildet, 
dass sie sich bei mechanischer Beeintrachtigung selbstatig 
zerstoren. Im Rahmen der • Erf indung kann es auch zweckmaliig 
sein f die Rastermodule 17 und den Druckkopf datenausgabe 18 
- entsprechend auszubilden. 

25 

Es kann auch zweckmaliig sein, dass das Entschliisselungsmodul 
durch einen oder mehrere Schlttssel zu aktivieren ist, so dass 
gewahrleistet ist, dass die Druckvorrichtung nur sensitive 
Daten druckt, wenn ein oder mehrere bestimmte Operatoren phy- 
30 sisch anwesend sind. Diese Schlussel konnen beispielsweise 
uber ein Bedienfeld an der Druckvorrichtung oder uber einen 
Datentrager, wie z.B. eine Chipkarte, an der Druckvorrichtung 
1 eingegeben werden. 

35 Weiterhin ist es zweckmaliig, an der Druckvorrichtung in den 
Eingabeschacht 4 eingelegtes Sicherheitspapier entsprechend 
tiber eine Eingabe am Bedienfeld zu kennzeichnen, wobei ein 
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Operator dies nur unter vorheriger Authentifizierung mittels 
eines Schlussels ausfiihren darf. Hierdurch wird sicherge- 
stellt, dass sensitive Daten nur auf entsprechende Aufzeich- 
nungstrager gedruckt werden. 

Alternativ ist es moglich, einen Sensor zu Detektion eines 
entsprechenden Sicherheitspapieres am Forderweg 6 im Bereich 
vor der Fotoleitertrommel 9 vorzusehen, so dass der Druckvor- 
gang von sensitiven Daten automatisch gestoppt wird, wenn ihm 
lediglich ein herkommlicher Auf zeichnungstrager zugefuhrt 
werden sollte. 

Bei obigem Ausfuhrungsbeispiel sind ein Entschliisselungsmodul 
16 und ein oder mehrere Rastermodule 17 vorgesehen. Im Rahraen 
der Erfindung ist- es auch mSglich, die Berechnungen . zum Ent- 
schltlsseln der verschlusselten Daten mit den Berechnungen zum 
Rastern von Druckdaten zu verbinden und in einem kombinierten 
Entschliisselungs-/Rastermodul auszuf Uhren . 

Die Ausfuhrungsform des .erf indungsgemaflen Verfahrens gemafi 
Fig. 4 entspricht im Wesentlichen dem' aus Fig. 3. Diese un- 
•terscheidet sich lediglich im Entwurf und in der Formatierung 
der Applikation. Bei der Applikations-Beschreibung (Layout) 
werden nur die unverschliisselten Daten berucksichtigt . Fur 
die verschlusselten Daten sind entsprechende Leerflachen vor- 
zusehen. 

Diese Leerflachen far die verschlusselten Daten konnen durch 
Platzhalter erzeugt werden, um das vollstandige Design visua- 
lisieren zu k6nnen. Hierzu ist es zweckmaMg, geeignete Mar- 
kierungen zu verwenden. Zudem kann die Markierung auch als 
„Positionier- oder Formatierungshilfe" verwendet werden. 

Bei der Formatierung der Applikation wird die Applikation auf 
Basis der Applikations-Beschreibung (Layout) und den zur Ver- 
fiigung stehenden Druckdaten formatiert. Dies kann mittels 
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Spezial-Formater, wie z.B. PRISMAproduction oder oce-Windows- 
Applicationdriver ausgefuhrt werden. 

Bei der Ausf uhrungsf orm des erf indungsgemafien Verfahrens ge- 
5 maii Fig. 5 gibt es Unterschiede im Vergleich zu der Ausfuh- 
rungsform aus Fig. 3 beim Entwurf der Applikation und bei der 
Formatierung und VerschlUsselung der Applikation. Insbesonde- 
re werden die zu verschlusselnden Daten erst nach der Erzeu- 
gung der Druckapplikation bzw. Druckdatei selektiv verschlus- 
10 selt. 

In der Applikations-Beschreibung (Layout) werden die sensiti- 
ven und die nicht-sensitiven Daten durch gesonderte Markie- 
rung gekennzeichnet . Prinzipiell kann jede Art von Kommando 

15 oder Markierung verwendet werden, sofern sie in den nachsten 
Verarbeitungsstuf en eindeutig interpretierbar ist. Insbeson- 
dere konnen hierzu besondere Parameter , Flags oder Tags, 
(Schreib-)Kommandos oder sichtbare oder nicht-sichtbare Kenn- 
zeichnungen, wie z.B. Farbe oder Schriftarten verwendet wer- 

20 den... . 

Nach der Formatierung werden die- sensitiven Daten anhand der 
Markierungen selektiv .verschlusselt . m . . 

25 Die in Fig. 6 gezeigte Ausf uhrungsf orm des erf indungsgem&fien 
Verfahrens entspricht im Wesentlichen der in Fig, 5 gezeigten 
Ausf uhrungs form, wobei jedoch beim Entwurf der Applikation 
und bei der Formatierung der Applikation weder Kommandos noch 
Markierungen zur Kennzeichnung der verschliisselten Daten ge- 

30 setzt werden, sondern die gesamte Applikation bzw. Druckda- 
teien verschlusselt wird. 

Die bei der obigen Ausf uhrungsf orm verwendete Druck- 
vorrichtung ist ein elektrof otograf ischer Hochleistungsdru- 
35 cker. Derartige Hochleistungsdrucker konnen 400 DIN 4-Seiten 
pro Minute und mehr bedrucken. 
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Die Erfindung kann f olgendermaJien kurz zusammengef asst wer- 
den: 

Die Erfindung betrifft ein Verfahren und eine Vorrichtung zum 
5 Drucken von sensitiven Daten. 

ErfindungsgemaU werden die Daten nach der Entschlusselung in 
der Druckvorrichtung nicht in einem nicht-f luchtigen Speicher 
gehalten, sondern im Wesentlichen ohne Zwischenspeicherung 
10 sofort in Steuersignale zum Ansteuern einer Druckeinheit um- 
gesetzt und der Druckeinheit zugeleitet. 

Hierdurch ist es nicht mSglich, durch Manipulation an der 
Druckvorrichtung die entschlusselten Daten zu lesen. 

15- 
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Bezugszeichenliste 

1 Druckvorrichtung 

2 ' 2 Arbeitsstationen 
5 3 Datenleitung 

4 Eingabeschacht 

5 Ausgabeschacht 

6 FSrderweg 

7 Transport-OC 
10 8 F5rderrichtung 

9 Fotoleitertrommel 

10 LED-Zeichengenerator 

11 Entwicklerstation 

12 Conroller 

15 

14' I/O-Modul 

15 Datenbus 

16 Entschlusselungsmodul 

17 Rastermodul 

20 18 Druckkopfdatenausgabe 
19 Pixelbus 
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Anspruche 

1. Verfahren zum Drucken von sensitiven Daten, umfassend 
die folgenden Schritte, 

Verschliisseln von zu druckenden sensitiven Daten an 
einer Arbeitsstation (2), 

Ubertragen der zu druckenden Daten an eine Druck- 
vorrichtung (1) , 

Entschliisseln der zu druckenden sensitiven Daten, 
Umsetzen der zu druckenden Daten in Steuersignale 
zum Ansteuern einer Druckeinheit (9,10,11), 
Drucken der Daten auf einen Auf zeichnungstrager, 
wobei zwischen dem Entschliisseln und dem Drucken 
der Daten die entschlusselten Daten nicht ■ in einem 
lesbaren Format auf einem nicht-f liichtigen Spei- 
chermedium gespeichert werden. 

2. Verfahren nach Anspruch 1, 
dadurch gekennzeichnet, 

dass die entschlusselten Daten zwischen dem Entschliis- 
seln und dem Drucken in einem fluchtigen Speicher, wie 
z.B. einem RAM, gespeichert werden. 

3. Verfahren nach Anspruch 1, 
dadurch gekennzeichnet, 

dass die entschlusselten Daten zwischen dem Entschliis- 
seln und dem Drucken in einem nicht-f liichtigen Speicher 
gespeichert werden, wobei die Daten auf mehrere Spei- 
chersegmente verteilt sind und deren Zuordnung unabhan- 
gig von den Daten, vorzugsweise im RAM, gespeichert ist. 

4. Verfahren nach einem der Anspriiche 1 bis 3, 
dadurch gekennzeichnet, 

dass die sensitive Daten enthaltenden Steuersignale in 
einem f liichtigen Speicher, wie z.B. einem RAM, gespei- 
chert werden. 
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5. Verfahren nach einem der Ansprttche 1 bis 3, 
dadurch gekennzeichnet, 

dass die sensitiven Daten enthaltenden Steuersignale in 
einem nicht-f liichtigen Speicher gespeichert werden, wo- 
5 bei die Daten auf mehrere Speichersegmente verteilt sind 

und deren Zuordnung unabhangig von den Daten, vorzugs- 
weise in einem f liichtigen Speicher, gespeichert ist. 

6. Verfahren nach einem der Ansprttche 1 bis 5, 
10 dadurch gekennzeichnet, 

dass das Entschlttsseln und das Umsetzen in Steuersignale 
zeitlich unmittelbar auf einanderfolgend ausgeftihrt wird. 

7. Verfahren nach einem der Anspruche 1 bis 5, 
15 dadurch gekennzeichnet, 

dass das Entschlusseln und das Umsetzen in Steuersignale 
in einem Controller (12) zum Ansteuern eines Zeichenge- 
nerators (10) ausgeftihrt wird. 

20 8. Verfahren nach einem der Ansprttche -1 bis 7, 
dadurch gekennzeichnet, 
dass die zu druckenden Daten an die Druckvorrichtung in 
Form eines Druckdatenstromes, wie z..B. IPDS, PDF, PCL 
Oder PS, ttbertragen werden, 

25 in der Druckvorrichtung der Druckdatenstrom in eine Zwi- 

schensprache tibersetzt wird, und 

die Druckdaten in der Zwischensprache entschlttsselt und 
in Steuersignale umgesetzt werden. 

30 9. Verfahren nach einem der Ansprttche 1 bis 8, 
dadurch gekennzeichnet, 
dass die Druckdaten sowohl sensitive Daten als auch 
nicht sensitive. Daten enthalten. 



35 10. 



Verfahren nach Anspruch 9, 

dadurch gekennzeichnet, 
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dass die sensitiven und die nicht-sensitiven Daten vor 
dem Obertragen zur Druckvorrichtung zu einer Datenein- 
heit, wie z.B. einer Druckdatei, verbunden werden. 

11. Verfahren nach Anspruch 10, 
dadurch gekennzeichnet, 

dass die sensitiven Daten in der Dateneinheit durch Mar- 
kierungen gekennzeichnet werden. 

12. Verfahren nach Anspruch 10 oder 11, 
dadurch g e k ennzeichnet, 

dass anhand der nicht-sensitiven Daten ein Layout er- 
stellt wird, das Bereiche zum Aufnehmen von sensitiven 
Daten umfasst. 

13. Verfahren nach einem der Anspruche 10 bis 11, 
d a d u r c h g e k e n n zeichnet, 

dass die sensitiven Daten bereits vor dem Kombinieren zu 
einer Dateneinheit mit den nicht-sensitiven Daten ver- 
schlusselt werden. .... 

14. Verfahren nach einem der Anspriiche 10 bis 11, 
dadurch gekennzeichnet, 

dass die sensitiven Daten nach dem Kombinieren zu einer 
Dateneinheit mit deh nicht-sensitiven Daten verschliis- 
selt werden. 

15. Verfahren nach Anspruch 14, 
dadurch gekennzeichnet, 

dass nur die sensitiven Daten verschlusselt werden. 

16. Verfahren nach Anspruch 14, 
dadurch gekennzeichnet, 

dass sowohl die sensitiven als auch die nicht-sensitiven 
Daten verschlusselt werden. 

17. Verfahren nach einem" der Anspriiche 1 bis 16, 
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dadurch gekennzeichnet, 
dass das Umsetzen der zu druckenden Daten in Steuersig- 
nale zum Ansteuern einer Druckeinheit durch Rastern der 
zu druckenden Daten in ein oder mehrere Rasterbilder 
5 ausgfuhrt wird, wobei die Rasterbilder die Steuersignale 

darstellen. 

18. Vorrichtung zum Drucken von sensitiven Daten gemafi dem 
Verfahren nach einem der Ansprtiche 1 bis 17, mit 

10 - einer Druckeinheit (9,10,11), 

einem Controller (12) zum Ansteuern der Druckein- 
heit, 

wobei der Controller (12) zum Empfangen eines Druckda- 
tenstromes ausgebildet ist, der verschltisselte Daten 
15 beinhalten kann, und dass die sensitiven Daten ent- 

schltisselt und in Steuersignale zum Ansteuern der Druck- 
einheit umgesetzt werden, wobei die entschliisselten Da- 
ten nicht in einem lesbaren Format auf einem nicht- 
fllichtigen Speichermedium gespeichert werden. 

20 

19. Vorrichtung nach Anspruch 18, 
dadurch ge kenn z ei chn et , 

dass die Druckeinheit einen Zeichengenerator (10) auf- 
weist. 

25 

20. Vorrichtung nach Anspruch 18 oder 19, 
dadurch gekennzeichnet, 

dass die Vorrichtung ein elektrof otograf ischer Hochleis- 
tungsdrucker ist. 

30 

21. Vorrichtung nach einem der Anspruche 18 bis 20, 
dadurch gekennzeichnet, 

dass der Controller (12) ein Entschliisselungsmodul (16) 
und eines oder mehrere Rastermodule (17) auf weist. 

35 

22. Vorrichtung nach einem der Anspruche 18 bis 20, 
dadurch gekennzeichnet, 
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dass der Controller (12) ein kombiniertes Entschliisse- 
lungs-/Rastermodul aufweist. 

Vorrichtung nach einem der Anspriiche 18 bis 22, 
dadurch gekennzeichnet, 
dass der Controller (12) nur flUchtige Speichermedien 
aufweist . 

Vorrichtung nach einem der Anspriiche 18 bis 23, 
dadurch gekennzeichnet, 
dass an einem Forderweg (6) fur Auf zeichnungstrager im 
Bereich vor der Druckeinheit (9,10,11) ein Sensor zum 
detektieren von Auf zeichnungstragern mit vorbestimmten 
Sicherheitsmerkmalen angeordnet ist," so dass bei der De- 
tektion von Auf zeichnungstragern ohne Sicherheitsmerkma- 
le das Drucken von sensitiven Daten gestoppt werden 
kann. ... 
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